3月7日、世界最大級の仮想通貨取引所であるBINANCE(バイナンス)でハッキング騒動がありました。ユーザーの仮想通貨が許可なく売却されたとして動揺が広がっています。これに対し、BINANCE(バイナンス)のCEO趙長鵬(ジャオ・チャンポン)氏はツイッターにて「全ての資金は安全だ」とツイートしており、さらに「取引活動に不正があったため、自動警報が作動した。一部の口座は以前から、フィッシングで操作されていた可能性がある。当社は引き続き調査中だ」と説明しています。趙氏は既に問題を把握して調査中であり、サイト自体はハッキング被害の形跡はないと言及しています。
今回のハッキング疑惑に関して、当然ユーザーからの色々な意見がありますが、そのセキュリティ対策は、日本の取引所も見習うべきところがあります。今回は、BINANCE(バイナンス)のセキュリティ対策とハッキング疑惑の原因となったフィッシングサイトの危険性についてまとめてみました。
今回のBINANCE(バイナンス)ハッキング疑惑の原因は?
今回のハッキング騒動は、仮想通貨の自動売買をするBOTを使っているトレーダーがAPIキーをフィッシングサイト経由で抜き取られ、資産を勝手に売られてしまったことに起因します。なので、BINANCE(バイナンス)が直接ハッキングを受けたのではなく、ユーザーがフィッシングサイトに引っかかってしまったのが原因です。
APIというのは、BOTを動かすために必要な「ソフトを動かす機能」です。また、フィッシングサイトというのは、BINANCE(バイナンス)とそっくりなサイトを作り、そこにアクセスしてきたユーザーにログインさせ、Google検証コードを入力させるように誘導させるというものです。分かりやすくいうと詐欺サイトなのですが、これに引っかかってしまうと資産を全て抜き取られてしまうようです。
つまり今回の騒動はバイナンスがハッキングを受けたわけではなく、フィッシングサイトに引っかかってしまったユーザーのアカウントが、不正操作をされたという事です。
フィッシングサイトに引っかからないようにするためには?
ハッキングに関しては取引所のセキュリティ対策の問題ですが、フィッシングに関してはユーザーの危機管理が問題になってきます。フィッシングサイトに引っかからない為に気をつけておくべきことをまとめておきます。
そもそもフィッシングサイトにアクセスしないために、アドレスを確認しましょう。BINANCE(バイナンス)のアドレスはhttps://www.binance.comです。巧妙なフィッシングサイトはアドレスを似せてきているものありますので、注意が必要です。分かりやすい例としてはhttpsになっていないサイトです。パスワードの入力を求められるサイトはセキュリティ保護のなされているhttpsでドメインを取得することを、Googleは推奨しています。httpsではなく、httpで始まっているサイトはセキュリティ保護がなされていないので、注意が必要です。
また、仮にフィッシングサイトにアクセスしてしまった場合の注意点ですが、BINANCE(バイナンス)のフィッシングサイトの場合、ログインするとエラーの表示が出てきて、その後認証コードの入力画面になります。通常公式サイトでは、認証コードの入力を求められるのはBINANCE(バイナンス)へのログイン後です。エラーが表示されるのにも関わらず、認証コードの入力が求められるサイトはフィッシングサイトの可能性が高いです。
一番おすすめなのは、すでにBINANCE(バイナンス)のアカウントを開設している場合、ブックマークしておくことでしょう。
不正アクセスが発覚した際のBINANCE(バイナンス)側の対応
今回の件に関して、BINANCE(バイナンス)側に落ち度はないのですが、その対策の迅速さとその後のフォローについては、日本の取引所にも見習う点が多いです。
まず、不正アクセスがあった直後にチームを組んで、調査に入っています。これは、不測の事態を想定して予め組んであった自動警報システムが働いた為です。そして出金ストップを即座に行うという対応をとっています。これにより、BINANCE(バイナンス)側は結果的にハッカーの動きをつきとめ、売買を無効にし、アカウントの凍結に成功しています。こういったスキームが既に確立されているため、今回のような事態にも対応が可能だったという事です。コインチェックの流出事件はNEMが盗まれてから気がつくのに時間を要しましたから、こういったセキュリティ対策の流れが体系化されている点は日本の取引所も見習いたいところです。
さらに、BINANCE(バイナンス)側は、凍結したハッカーの仮想通貨はチャリティに寄付すると言及しています。CEO自らが安全性に言及することでユーザーのケアを行うと同時に、火消し後のブランディングも見事ですね。
今回のフィッシング詐欺の影響で大きく値動きした銘柄
今回のフィッシング詐欺で大きく値を上げたアルトコインがVIAコインです。フィッシングによりユーザーのアカウントを乗っ取ったハッカーは、そのアカウントのアルトコインを売り払い、その資金で大量のVIAコインを購入することにより、短期間で作為的な値上がりを実現し利益を得ようとしたのです。
これにより3月7日から3月8日にかけて、VIAコインは一時約100倍になっています。なぜVIAコインが対象になったのかは不明ですが、時価総額が低く、大量の資金が流入する事で値上がりしやすい銘柄が狙われた可能性が高いです。結果として、売買が無効になり、ハッカーのVIAコインは凍結されましたが、BINANCE(バイナンス)にはこういった時価総額が低く、短期的に資金が流入する事で大きく値動きする銘柄が多いので、BINANCE(バイナンス)ならではの事件ということが言えるでしょう。
その後、VIAコインの値段は落ち着いており、上がる前の値段に戻っています。
今回のフィッシング詐欺から日本の取引所とユーザーが学ぶべきこと
今回のフィッシング詐欺でのBINANCE(バイナンス)の対応から日本の取引所が学ぶべきことは、セキュリティ対策を体系化する事と、代表自らが情報を発信してユーザーを安心させるという事です。
セキュリティ対策に関しては、先日の規制団体設立の件で、今後整備がなされていくようですが、SNSを使ったユーザーケアに関しては、仮想通貨取引所だけのことではないのですが、日本企業はまだまだ弱い部分です。
特に今回のBINANCE(バイナンス)に関しては、対策チームが即座に組まれた旨をCEO自らが発信し、その上対策についての進捗を分かりやすくユーザーに伝えて言った点がユーザーの不安払拭にも繋がっています。ユーザーと適切なコミュニケーションをとることで、ユーザーはその取引所の透明性を感じることが出来、その取引所で取引を続けることのメリットを感じることが出来ます。日本の取引所はユーザーとのコミュニケーションが問い合わせフォームくらいしかないので、取引所を選ぶ基準がサービスの質やセキュリティ管理の面くらいしか差別化出来ません。
日本でも昨今新しい取引所が開設され、多くの企業が仮想通貨ビジネスに参入してきています。仮想通貨などの金融商品は「情報の非対称性」が生まれやすいサービスです。日本の取引所もユーザーとのコミュニケーションを意識したサービスを展開していくことを期待します。
そして仮想通貨に投資する上でユーザーは金融リテラシー意外にも、ネットリテラシーを身に着けていく必要が今回の件で改めてわかりました。ユーザーも継続的に情報を摂取して、取引所との適切なコミュニケーションをとっていく事が、今後仮想通貨ビジネスが発展する上で必要になってきます。
